NoVVy

Jestem w trakcie przenoszenia ważniejszych danych na drugi dysk. Postanowiłem, że postawię system właśnie na tym drugim dysku (8mb cache, tamten ma 2mb a więc oprócz poprawy bezpieczeństwa skoczy troszkę wydajność). Mam taki odruch, że zawsze gdy robię partycje na dyskach to pierwsza jest nie za duża (6gb) i nadaje się idealnie pod XP'ka albo żeby wrzucić pamięć wirtualną. Czyli zamienię dyski rolami ^^. Dla pewności zrobię Full Erase w SeaTools for DOS (czyli całe wyzerowanie dysku - ciekawe ile to potrwa ^^). Zanim jednak zabiorę się do tego zrobię malutki eksperyment - odinstaluję po kolei Sandboxie, Eset Smart Security 4 i Sunbelt Personal Firewall, odpalę Gmer'a i zobaczę czy czasem to nie jest jego błędna interpretacja.

----- UPDATE ------

Wracam z nowym logiem z Gmer'a. Skanowanie przeprowadzone po instalacji systemu na innym dysku -----> klik. Log z Gmer'a wygląda na czysty. Tamten dysk przeszedł Full Erase czyli powinien być czysty (jeżeli mam jeszcze czymś go przeskanować to proszę o info). Co do samej infekcji to miałem nadzieję, że to fałszywy alarm ze strony Gmer'a. Odinstalowywałem po kolei wymienione wyżej programy i robiłem skan ale okazało się, że to żaden z tych programów -----> klik - (log utworzony przed zerowaniem tamtego zainfekowanego dysku) - nadal coś tam siedziało (oprócz tego widać jeszcze pozostałości po ESS 4). Jeśli chodzi o te logi z firewall'a to na razie wygląda to tak -----> klik. Ja wiem, że uparcie wracam do tego tematu ale to tylko dlatego, że widzę ogromną różnicę w porównaniu z tym co było wcześniej (żałuję bardzo, że nie mam już starych logów ale dałbym sobie obie ręce uciąć, że takiej częstotliwości skanowania portów tam nie było - raz na miesiąc góra i to wcale nie dlatego, że firewall nie rejestrował wszystkiego ^^). No chyba, że na przestrzeni kilku miesięcy znacznie powiększyła się liczba automatycznie przeprowadzanych ataków (o których jest mowa w artykule "- Mity bezpieczeństwa") co oczywiście nie jest niemożliwe.

Skoro lekką ręką prowadziłeś format, to ja bym poszła dalej i w końcu raz a porządnie uziemiła ślady w sektorach.

Prawdę mówiąc to bardzo nie chciałem robić tego formatowania partycji systemowej a co dopiero zerowania całego dysku Na tym kompie nie robiłem formatu od kilku lat ponieważ jestem zdania, że format to takie obejście problemu a tak jak się zawsze posiedziało nad jakimś problemem to nie tylko znalazło się jakieś rozwiązanie ale i wiedzy w głowie przybywało ^^ Niestety w przypadku tej infekcji zerowanie dysku było chyba najrozsądniejszą opcją.

@picasso po raz kolejny bardzo mi pomogłaś - bardzo Ci dziękuję!

@Landuss dziękuję Ci za pomoc i poświęcony czas

@sphere dzięki za zainteresowanie tematem

Pozdrawiam!

ps. jeżeli mam wrzucić jeszcze logi z jakiegoś programu to proszę o informację.

To logi po formacie?

Tak. To są logi wykonane już po formacie na nowo postawionym XP'ku.

Ale to oczywiste przy nowej czynnej infekcji. Komentuję, że niezależnie od leczenia ślady zawsze zostają, a najważniejszym do sprawdzania jest zawsze sektor zero a nie te pozostałe.

No właśnie najbardziej obawiam się tego co siedzi w sektorze zero ale pomyślałem, że informacja o trochę zmienionej linijce przy "malicious code" może się przydać. Myślałem, że tam już jest coś nowego, coś co mogło nadpisać tamte pozostałości.

Blokuje zapora = nie ma tu nic do roboty.

To blokowanie najbardziej z tego wszystkiego mnie cieszy ale martwi mnie to, że od jakiegoś czasu do skanowania dochodzi kilka razy w ciągu doby od pewnego czasu. Wcześniej tak nie było (może raz na miesiąc) i to może chyba mieć związek z infekcją.

Choćby po to, by wpiąć komputer w botnet i używać go jako hosta rozsyłającego spam / infekcje. Poczytaj sobie ustęp początkowy z "Mitów bezpieczeństwa": KLIK

Czytałem już wcześniej ale teraz też sobie przeczytałem. I odnośnie fragmentu tego artykułu mam też pytanie:

po trzecie, większość ataków jest przeprowadzana automatycznie w poszukiwaniu wszystkich komputerów podatnych na nie

Czy to znaczy, że w logach firewall'a każdego komputera można znaleść treści wskazujące na skanowanie portów codziennie kilka razy na dobę czy tylko tych zainfekowanych? Log, który podałem zawiera tylko dwa dni (czyli tyle ile pracuje zapora po nowym postawieniu systemu) a już zaczyna wypełniać się informacjami o skanowaniu. Wcześniej tak nie było a logi były od czasu do czasu uzupełniane tylko o wpisy typu:

ICMP PING CyberKit 2.2 Windows

oraz

ICMP Destination Unreachable Port Unreachable

przy czym to ostatnie przeważnie ukazywało się po odpaleniu Steam'a.

Jestem po formacie partycji systemowej. Pełne formatowanie (ale standardowe z poziomu instalatora chociaż wiem, że przydałoby się całkowite wyzerowanie dysku).

Logi przed wykonaniem FIXMBR:

MBRCheck

Gmer

Logi po wykonaniu FIXMBR:

MBRCheck

Gmer

Pamiętam o pozostałościach z poprzedniej infekcji w sektorze 61 ale wspominam o tym ponieważ linijka z "malicious code" w Gmer trochę się teraz różni.

Pozostałości po wcześniejszej infekcji kiedyś wyglądały tak:

malicious code @ sector 0x950a600 size 0x1c6

Dziś Gmer pokazuje je tak:

malicious code @ sector 0x12a18ac1 size 0x1c6

Pamiętam też, że MBR pokazywał pozostałości w taki sposób, że wymieniał tylko sektor 61 z "malicious code" i sektor 62 z kopią MBR a ostatnio program MBR wskazywał już ten inny "malicious code" (i dodatkowy wers z treścią "MBR rootkit infection detected").

No i trochę przeraża mnie log z Sunbelt Personal Firewall - klik.

"I Feel You" (DM) zagrany przez Samael'a i Vader.

http://www.youtube.com/watch?v=ayR6QKMxG9M

http://www.youtube.com/watch?v=SJGW9zmyo-Y

A słyszał ktoś o Carpathan Forest?

Ja słyszałem.

Najlepiej zrobiony (moim zdaniem) cover Paint It Black (The Rolling Stones)

http://www.youtube.com/watch?v=Dsvf9_7O8b0

Polecam także wspaniale zagrany cover Black Sabbath

http://www.youtube.com/watch?v=vZppJ64ZA38

Log z TDSSKiller --> klik. Nie wykrył nic.

----- UPDATE -----

Problem z wykrywaniem rootkita w MBR zniknął (a użyłem tylko parametru "-t"czyli zgodnie z instrukcją "trace called modules "). Przed użyciem MBR jeszcze wykrywał a zaraz po użyciu przestał. Gmer wykrywa nadal rootkita (a właściwie rootkit-like). Skopiowałem zawartość każdego sektora, w którym Gmer wykrył to coś rootkit-like i wrzuciłem na stronkę Virus Total. Jedynie w 61 sektorze jest coś wykrywane. Na stronie bitdefender.com jest opisane działanie tego rootkita.

This is a small malware that is located in the Master Boot Record (MBR) of the disk. When de PC is starting up, the infected MBR is loaded into memory and executed. The virus first reserves memory for its body by substracting 2 from the total amount of conventional memory installed (in order to hide its traces and prevent the OS from overwriting it). Then, it will move its first 256 bytes in the memory hole created, read two more sectors from the disk (61 & 62 which contain malware code as well), and it will hook the 13h interrupt vector (BIOS disk service), functions 2 and 42h (responsabile for reading sectors into memory). It will then load the original MBR code, located on cylindre 0, sector 63 (last physical sector from that head) at the address 0:7C00h and execute it. Since the read services of the interrupt 13h are hooked by the virus, each time the original MBR or the BOOT sector will perform read operations from the disk, the virus will be activated. (However, after the operating system is up and running, disk I/O are made using drivers, not the interrupt 13h, thus, the virus will not intercept disk-reads anymore).

During the BOOT sequence, the virus will execute its own kernel loader (located on sectors 61 & 62), which will patch the windows kernel into memory, in order to load a specific rootkit-driver and prepare the execution of other malware components already present in the system.

Wydaje mi się, że w tym 61 sektorze znajdują się pozostałości po rootkicie. Nie wiem tylko dlaczego Gmer nadal pokazuje (jest podświetlone na czerwono), że coś siedzi w MBR (sektor 00) a sam program MBR pokazuje, że już jest czysto.

Logi:

użycie parametru -t w MBR

MBR po użyciu parametru -t

Gmer

Link do wyników ze skanowania 61 sektora na Virus Total - klik.

------ UPDATE ------

Nie wspomniałem wcześniej, że od pewnego czasu w logach Sunbelt Personal Firewall (czyli wcześniejsze Kerio) pojawiają się informacje typu "ICMP superscan echo" oraz "PortScan" (raz nawet był atak typu DOS). Nie byłoby w tym nic dziwnego gdyby nie to, że dochodzi do tego dwa czy trzy razy w ciągu dnia (lub nocy) a wcześniej tak nie było. Adresy źródeł ataku pochodzą z Korei, Chin, Rosji, Kanady. Strony z warezem, xxx czy też gry z witaminami omijam szerokim łukiem. Podejrzewam, że mogłem coś złapać poprzez kliknięcie w link prowadzący do strony z niebezpiecznym kodem (mam trochę znajomych w biurach, którzy w międzyczasie wysyłają mnóstwo linków do śmiesznych rzeczy typu filmiki, animacje flash czy też mailem wysyłają pps). Aktualizuję wszystko ręcznie (nie lubię jak coś się ma samo w tle robić a tak mam pewność) i często. Używam Sandboxie i Firefox'a (z pluginami Adblock Plus, NoScript, DownloadHelper, WOT i ostatnio zainstalowałem jeszcze CsFire z tym, że ten ostatni wyłączam na czas pobytu na youtube bo inaczej wyświetla się "an error occurred, please try again later." a nie wiem jak ustawić we wtyczce żeby "tolerował" zawartość strony). No ale wracając do tego skanowania to może to coś co złapał mój komputer powiadomiło o uruchomieniu serwera i teraz ktoś chciałby to wykorzystać. Pytanie tylko po co tyle zachodu skoro to jest zwykły komp używany głównie do słuchania muzyki z wav'ów zrzuconych z oryginalnych płyt (dla wygody), czasem pogrania w CS:S, Q3 czy Diablo 1 i 2, uruchamianie emulatora Atari 65 XE () i oglądania filmów na dvd lub youtube. W każdym razie od razu w tym temacie pytam czy wystarczy mi taka ochrona przed tym internetowym agresorem i czy może być jakiś związek z tym co wykrywa Gmer w 00 sektorze. Zamieszczam log z Sunbelt Personal Firewall (powtarzający się w krótkich odstępach czasu komunikat "ICMP Destination Unreachable Port Unreachable" to efekt działania Steam) ----> klik.

Ustawienia firewalla są takie: 1, 2, 3

----- UPDATE -------

Log z Rootkit Unhooker ---> klik

W sekcji Stealth jest coś takiego:

Unknown page with executable code
Address: 0xFE154F53
Size: 173

Unknown page with executable code
Address: 0xFE1E507B
Size: 3973

Unknown page with executable code
Address: 0xFE1E3E44
Size: 444

Unknown page with executable code
Address: 0xFE1EBD66
Size: 666

Porobiłem zrzuty i przeskanowałem na Virus Total. W dwóch z nich wykryło coś ale tylko przy McAfee-GW-Edition. Ten o wielkości 666 jest wykrywany jako Heuristic.BehavesLike.Exploit.CodeExec.EOOJ a ten o wielkości 3973 wykrywa jako Heuristic.BehavesLike.Exploit.CodeExec.FFOO

Udało się przywrócić partycje na tym dysku. Jestem już na Xp'ku i wykonałem skrypt w OTL oraz skanowanie OTL, Gmer i MBR.

Oto logi:

Gmer

Log po użyciu skryptu w OTL

OTL

Extras

MBR

Zamieszczam jeszcze wczorajszego loga z MBR po użyciu parametru "-f" - MBR

Przed chwilą właśnie użyłem polecenia FIXMBR ale niestety nic się nie zmieniło. Instalator XP pokazuje, że dysk jest niepodzielony czyli chyba jednak doszło do uszkodzenia tablic partycji. Jeżeli jest jeszcze jakaś szansa na odratowanie partycji (i zawartości) to bardzo bym prosił o pomoc.

Uruchomiłem MBR z parametrem "-f" i wyskoczył komunikat, że operacja zakończyła się pomyślnie. Uruchomiłem jeszcze raz MBR żeby sprawdzić czy znowu wykryje rootkita no i niestety wykrył. Po restarcie system nie wstał. W ogóle tak jakby nie było dysku, na którym jest system. Piszę właśnie z linux'a (live cd bo innego systemu na dyskach nie mam). Prawdę mowiąc to nie wiem teraz co mam robić. Odpaliłem instalator z plyty z XP i myślałem, że uda sie to jakoś naprawić ale komenda "fixboot" nic nie daje bo nie widać partycji z systemem (w ogóle nie widać żadnej partycji z tego dysku, na którym był system). Chciałem też użyc opcji "fixmbr" ale wyskoczył komunikat, ze moze to uszkodzić tablice partycji wiec zrezygnowałem. Czy przez użycie parametru "-f" w MBR mogło właśnie dojść do takiego uszkodzenia tablic partycji? Czy da się to jakoś naprawić? Sam nie wiem dlaczego teraz się tak stało bo używałem kiedyś MBR i wszystko było w porządku. Mam sporo rzeczy na tym dysku, ktorych nie chciałbym stracić. Dodam jeszcze, że pod linuxem także nie widać partycji dysku, na którym jest system.

----update---

W instalatorze od XP widać dysk, na którym był system ale bez partycji.

Witam. Chciałem się upewnić czy mam infekcję rootkitem. Zrobiłem skan GMER'em w trybie awaryjnym i wykryło mi coś i sam nie

wiem czy to rootkit. Zupełnie zapomniałem o tym, że nie wolno samemu bez wyraźnego sygnału stosować Combofix'a... Załączam

więc loga także z Combofix'a (nie sprzątałem po nim - katalog Qoobox jest nadal - nie ruszany). Załączam również wymagany raport

z OTL (z zaznaczoną opcją "Use No-Company-Name WhiteList" - wersja nowsza OTL od tej w tutorialu posiada tą opcję i nie

wiedziałem czy mam ją odznaczyć). Miałem już wcześniej jakieś stare pozostałości "malicious code" po wcześniejszej infekcji

/index.php?showtopic=136884&view=findpost&p=593222"]S-E ale teraz wygląda to na coś innego (moim

zdaniem). Specjalnie nie robiłem "fixa" w MBR (który wykrywa infekcję).

GMER

OTL

Extras

Combofix

MBR

Jak zwykle o wszystkim dowiaduję się ostatni...

Właśnie w tv poleciała reklama, że jutro czyli 19 października do "Dziennika Gazety Prawnej" dołączona będzie płytka CD z pakietem ESET Smart Security z półroczną licencją. Niezła okazja żeby się zaopatrzyć w naprawdę dobry program zwłaszcza, że cena nie jest wysoka (6,99 zł). Więcej info tu - klik.

Nie słyszałem nic poza płytkami "Body Count" i "Born Dead" (na której super zagrano cover Hey Joe) także dzięki za wrzucenie tych dwóch kawałków.

@ wieslaw531

Próbowałem chyba każdą możliwą opcję włączając w to zmianę sterowników monitora (na tych domyślnych i na najnowszych ze strony HP ten sam efekt). Mniej więcej znam różnice w kablach HDMI ale dziękuję za linka. Sam też podejrzewałem kabel ale bardziej końcówkę DVI niż HDMI. W necie znalazłem dużo przypadków, w których wymiana kabla była dobrym rozwiązaniem. Głównie chodziło o wymianę kabla DVI-I na kabel DVI-D. Były też przypadki wymiany kabla DVI-D Dual Link czyli 24+1 na DVI_D Single Link czyli 18+1 (sam posiadam właśnie Single Link o długości 1.8m). Właściwie to mógłbym kabel wymienić ale nie wiem czy to nie będzie poprostu obejście problemu zamiast jego rozwiązanie bo np. w DOS'ie i w Windows XP uruchomionym w trybie awaryjnym wszystko działa idealnie czyli po wyłączeniu monitora i ponownym włączeniu monitor nie gubi sygnału. Dodam jeszcze, że monitor w DOS'ie i w trybie awaryjnym przeskalowuje obraz z rozdzielczości 800x600 na 1280x1024 (75hz). Normalnie pracuję przy rozdzielczości natywnej czyli 1650x1080 w 60hz. Zmiana parametrów (tj. rozdzielczości i odświeżania) na te z trybu awaryjnego (ale przy sterownikach ze strony producenta a nie vga standard jak w trybie awaryjnym) nie przynosi efektów. Instrukcję monitora jak i informacje na stronie producenta przestudiowałem ale niestety nie znalazłem tam rozwiązania.

@3oo

Skoro problem występował u Ciebie przy połączeniu HDMI-HDMI to chyba można też wykluczyć to, że winę w moim przypadku ponosi DVI-D Single Link (tylko sam właśnie nie wiem czemu niektórym osobom w necie taka wymiana kabla na Dual Link pomogła [może zależy to od tego w jak wysokiej rozdziałce pracuje monitor - tak mi się wydaje]. Podsunąłeś mi pomysł ze sprawdzeniem połączenia cyfrowego pod linux'em i wypróbowałem Kororaa XGL (korzysta z opengl). Niestety monitor również pod linuxem gubił sygnał po wyłączeniu i włączeniu. Funkcje oszczędzania energii wyłączyłem w Windows'ie i w monitorze bo jak już zgubi sygnał to nawet do menu nie da się wejść (nie da rady "wybudzić" monitora). Jedyne opcje w moim monitorze dotyczące wyjść to "Switch Video Input" do przełączania wejść oraz "Default Video Input" czyli do wybierania domyślnego wejścia sygnału. Nie mam niestety możliwości wyłącznenia trybu auto-detekcji.

Bardzo fajny temat. Głos oddałem na "Wąż w cieniu orła"! - oglądałem ten film wiele razy jak byłem mały Oczywiście bardzo lubię też inne filmy z Jackie Chanem (ale te starsze), Bruce'em Lee (chyba wszystko), czy Van Damme'em (głównie wcześniejsze filmy).

Witam Forumowiczów. "Przeskoczyłem" podobnie jak większość z Was z forum SE, na którym picasso uzdrowiła mój komputer (nie jeden raz). Pozdrawiam

Witam. Mam problem z monitorem HP w2207h. Wszystko działa bardzo dobrze przy połączeniu kabem VGA-VGA czyli analogowo. Cyfrowo czyli kablem DVI-HDMI też wszystko jest super i jedyny problem jest taki, że jak wyłączę monitor na jakiś czas bo nie będzie używany (np. gdy słucham tylko muzyki to wyłączam monitor żeby zaoszczędzić trochę energii) i po jakimś czasie włączę monitor to wyświetla się wiadomość "no input signal" dla VGA i HDMI. Dla VGA to się nie dziwię bo ten kabel całkiem odłączyłem ale nie wiem czemu nie ma sygnału dla HDMI. W menu monitora włączoną mam opcję, że domyślnym złączem jest HDMI. W windzie (XP) i w biosie wyłączyłem wszystko do oszczędzania energii itp. Zmieniałem stery do monitora i do grafy (Radeon 9800 Pro) ale to nic nie dało. Nie wiem czym to jest spowodowane i jak grzebałem w googlach to sporo ludzi ma podobny problem przy połączeniach cyfrowych DVI-DVI i DVI-HDMI. Jeżeli ktoś z Was wie jak rozwiązać problem pojawiającego się komunikatu o braku sygnału (po ponownym włączeniu monitora) to bardzo bym prosił o pomoc.